Le sanzioni penali previste nel nuovo D. lgs. n. 101/2018 di Giovanni De Bernardo Sommario: 1. Introduzione. 2. L art. 167. Trattamento illecito di dati. 3. L art. 167 bis. Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala. 4. L art. 167 ter. Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala. 5. L art. 168. Falsità nelle dichiarazioni al Garante e interruzione nell esecuzione dei compiti o dell esercizio dei poteri del Garante. 6. Inosservanza dei provvedimenti del Garante. 7. L art. 171. Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori. 1. Introduzione. Il 19 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n 101/2018 contenente Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. L esigenza della pubblicazione de quo nasce dalle numerose modifiche che dal 2016 ad oggi hanno coinvolto la delicata tematica della Privacy. Il nostro legislatore, a seguito della legge 25 ottobre 2017, recante delega al Governo per il recepimento delle direttive europee e l attuazione di altri atti dell Unione Europea Legge di delegazione europea 2016-2017 si è visto costretto ad intervenire in un campo, già regolamentato dal Codice della Privacy, introdotto nel nostro ordinamento con D.lgs. 196/2003. L ampia discrezionalità lasciata dalla cd. Legge di delegazione europea, se da un lato ha favorito un più libero recepimento nei singoli Paesi degli Stati membri, dall altro non ha fornito indicazioni rilevanti su molti aspetti di notevole importanza. Tra questi, senza dubbio, l inquadramento giuridico delle violazioni in materia di trattamento di dati con la concreta difficoltà del discrimine tra la sanzione amministrativa e quella penale. Tali incertezze applicative sono emerse sin dall inizio dei lavori preparatori al decreto di adeguamento. La prima bozza di decreto, presentata nel marzo 2018, infatti, prevedeva l abolizione, quasi nella sua interezza, del Codice della Privacy vigente, in favore di una normativa del tutto nuova, che propendeva per una notevole riduzione sanzionatoria con la depenalizzazione delle sanzioni penali, in www.giurisprudenzapenale.com Giurisprudenza Penale redazione@giurisprudenzapenale.com Rivista Giuridica registrata presso il Tribunale di Milano (Aut. n. 58 del 18.2.2016) Codice ISSN 2499-846X
osservanza del principio comunitario del ne bis in idem. Principio, com è noto, che vieta di essere puniti due volte per la medesima violazione di legge. La sopra citata tendenza abolizionista mal si conciliava con la necessità di punire gravemente le violazioni in materia di dati personali, oggi sempre più al centro dell attenzione e, comunque, conduceva a una proliferazione normativa amministrativa che non avrebbe risolto i problemi interpretativi. Così, nella seconda e definitiva bozza di decreto del 5 maggio 2018, sottoposta alla valutazione delle Camere, si è ribaltato completamente l orientamento assunto soltanto pochi mesi prima. Quivi, infatti, con il rischio di violare il principio del ne bis in idem, si prevedeva non più l abolizione del Codice della Privacy, ma la sua rivisitazione che armonizzasse il precedente assetto normativo con le nuove esigenze comunitarie; non dunque la depenalizzazione dei reati, ma modifiche degli stessi con, addirittura, l aggiunta di ulteriori fattispecie (artt. 167 bis e 167 ter), confermando, tuttavia, l abrogazione dell art. 169 (Omessa adozione di misure minime di sicurezza). 2. L art. 167. Trattamento illecito di dati. 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all interessato, operando in violazione di quanto disposto dagli articoli 123 (dati relativi al traffico), 126 (dati relativi all ubicazione) e 130 (comunicazioni indesiderate) o dal provvedimento di cui all articolo 129 arreca nocumento all interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 ("Trattamento di categorie particolari di dati personali") e 10 ("Trattamento dei dati personali relativi a condanne penali e reati") del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all articolo 2- septies ovvero operando in violazione delle misure adottate ai sensi dell articolo 2- quinquiesdecies arreca nocumento all interessato, è punito con la reclusione da uno a tre anni. 3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all interessato. 4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante. 5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La 2
trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell attività di accertamento delle violazioni delle disposizioni di cui al presente decreto. 6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell imputato o dell ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita. L articolo 167, così come modificato, mantiene la medesima ossatura fondamentale rispetto a quella del previgente Codice del 2003, ugualmente rubricato. Ciò nonostante, i ritocchi intervenuti sono stati numerosi. Gli elementi comuni, ed innovativi, che si reiterano in molte delle fattispecie oggi previste sono la clausola di esclusione ( Salvo che il fatto costituisca più grave reato ); il chiunque che amplia la portata applicativa, dal punto di vista soggettivo, precedentemente limitata al titolare, al responsabile o alla persona designata ex art. 2 terdecies, convertendolo, così, in reato comune; e, soprattutto, l introduzione del dolo specifico, che ricomprende non solo il fine lucrativo ( al fine di trarre profitto ) ma anche il nocumento dell interessato. Come la più tipica delle norme penali in bianco, lo schema stilistico adoperato attua continui rinvii ad altre norme descrittive che, a loro volta, rimandano a varie fonti di natura legislativa o regolamentare. Soltanto seguendo pedissequamente questi sfibranti richiami normativi si possono a fatica individuare le condotte punite. L attuale norma prevede, al 1 comma, la sanzione della reclusione da sei mesi ad un anno e sei mesi, qualora si violino, creando nocumento all interessato, le disposizioni che individuano il corretto trattamento di taluni dati, quelli relativi al traffico (art. 123), all ubicazione (art. 126), alle comunicazioni indesiderate (art. 130) e i provvedimenti di cui all art. 129 1. I commi 2 e 3 contemplano le due fattispecie aggravate (entrambe sanzionate con la reclusione da uno a tre anni), per le violazioni afferenti dati meritevoli di una tutela maggiore. Si ha riguardo, infatti, ai dati sensibili o giudiziari trattati in violazione, rispettivamente, in un caso, delle misure di garanzia e degli specifici requisiti prescritti per il loro trattamento ovvero trattamenti che presentino rischi 1 Art. 129. 1. Il Garante individua con proprio provvedimento, in cooperazione con l'autorità per le garanzie nelle comunicazioni ai sensi dell'articolo 154, comma 4, e in conformità alla normativa dell'unione europea, le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico. 2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all'inclusione negli elenchi e, rispettivamente, all'utilizzo dei dati per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale nonché per le finalità di cui all'articolo 21, paragrafo 2, del Regolamento, in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca del contraente per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri. 3
specifici per l esecuzione di un compito di interesse pubblico, nell altro, delle regole per il trasferimento all estero di dati personali 2. Le novità maggiormente interessanti riguardano l introduzione dei commi 4, 5 e 6. Essi, infatti, rappresentano il salvacondotto per la reintroduzione delle fattispecie penali, a seguito della loro abrogazione nella prima bozza di decreto del marzo 2018. Tali commi tipizzano quei correttivi utili al fine di scongiurare il rischio di violare il principio del ne bis in idem. I commi 4 e 5 prevedono un meccanismo di coordinamento tra PM e Garante, i due promotori dell azione giudiziaria nei rispettivi campi, penale e amministrativo. Vige, infatti, l obbligo per il Pubblico Ministero di informare il Garante circa la sopravvenienza di una notizia di reato (4 comma), e per il Garante l obbligo di comunicare al PM qualora presuma l esistenza di un reato (5 comma). Il sesto comma, invece, intende limitare il carico afflittivo della convergenza tra sanzione penale ed amministrativa, stabilendo che, qualora per la stessa violazione sia stata comminata una sanzione amministrativa, la pena per il reato sia diminuita. 3. L art. 167 bis. Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala. 1. Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell interessato è richiesto per le operazioni di comunicazione e di diffusione. 3. Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell articolo 167. Ad essere punita, nel caso di specie con la reclusione da uno a sei anni, è la condotta di chi comunica o diffonde un archivio automatizzato, o parte di esso, contenente dati personali oggetto di trattamento su larga scala, arrecando nocumento all interessato. Attorno al presente articolo si nutrono perplessità soprattutto con riferimento alla terminologia utilizzata. Non è dato sapere con esattezza cosa si intenda per archivio automatizzato, o, ancor di più, quando si debba intendere sostanziale una parte di esso. Anche relativamente al trattamento su larga scala vi sono dubbi interpretativi. La locuzione è andata a sostituire la precedente a un rilevante numero di persone al fine di ampliare la portata applicativa del reato de quo. 2 Si veda F. RESTA, Il Codice della Privacy, Commento al D.Lgs. 30 giugno 2003, n. 196 e al D.Lgs. 10 agosto 2018, n.101 alla luce del Regolamento (UE) 2016/679 (GDPR), a cura di Riccardo Sciaudone e Eleonora Caravà, in corso di pubblicazione, in art. 167 bis, 2018. 4
L unico discrimine esistente tra primo e secondo comma attiene al tipo di dati oggetto del trattamento. Nel secondo comma, il quale prevede la medesima sanzione rispetto al primo, sono tutelati quei dati per il cui trattamento è richiesto il consenso. Il terzo comma, infine, rinvia ai commi 4, 5 e 6 del precedente articolo quanto all osservanza del principio del ne bis in idem, sia per ciò che concerne il meccanismo di coordinamento tra PM e Garante, sia per la diminuzione della sanzione penale in presenza di una precedente sanzione amministrativa. 4. L art. 167 ter. Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala. 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni. 2. Per il reato di cui al comma 1 si applicano i commi 4, 5 e 6 dell articolo 167. Il nuovo articolo 167 ter introduce il reato di acquisizione fraudolenta di dati personali. Ai fini della sussistenza del reato è indispensabile l utilizzo di mezzi fraudolenti e, come nel caso dell art. 167 bis, la condizione del trattamento su larga scala. L aspetto che suscita maggiori perplessità è la riduzione sanzionatoria rispetto ai precedenti articoli. Lo schema tipico alla base della redazione di fattispecie penalmente rilevanti è quella di prevedere reati ordinati secondo un climax ascendente, che parte da quello con una sanzione minore fino ad arrivare a quello con una sanzione maggiore. Nei reati contro la persona, all interno del codice penale, ad esempio, vi è un ordine ascendente che fa sì che l istigazione a delinquere (art. 414 c.p.) preceda l associazione per delinquere (art. 416 c.p.) che, a sua volta, precede l associazione di tipo mafioso (art. 416 bis c.p.). Qui la sanzione è inferiore rispetto a quella degli articoli precedenti, dal momento che viene punita solo l acquisizione fraudolenta dei dati, ma non anche l utilizzo successivo o l eventuale diffusione. Analogamente al precedente art. 167 bis, viene effettuato un rinvio all articolo 167 per l attuazione del meccanismo di coordinamento tra PM e Garante e per la diminuzione della sanzione penale, qualora successiva alla sanzione amministrativa per lo stesso fatto. 5. L art. 168. Falsità nelle dichiarazioni al Garante e interruzione nell esecuzione dei compiti o dell esercizio dei poteri del Garante. 1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni. 5
2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti. Tra le disposizioni penali previste nel Codice della Privacy, l art. 168 è quello rimasto maggiormente invariato rispetto alla norma previgente, quantomeno nella spina dorsale. Il primo comma punisce chiunque dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi. Si tratta di due differenti condotte, la prima delle quali prevede la attestazione, ovvero l attività di redazione di atti afferenti dichiarazioni di terzi; la seconda, invece, si riferisce ai fatti dei quali il soggetto ha diretta percezione o che ha compiuto direttamente. La norma è stata ampliata nella sua portata applicativa dal momento che si è esteso il novero anche alle circostanze, termine giuridicamente poco definito nei suoi confini. Il secondo comma, del tutto nuovo, punisce chi cagiona un interruzione o chi arrechi un turbamento all attività del Garante. Anche in questo caso le condotte tipizzate sono due. L interruzione individua il mancato svolgimento dell attività, indipendentemente dal fatto che questa sia temporanea o definitiva. Il turbamento, per contro, si riferisce ad un alterazione del regolare svolgimento dell attività la quale, pur non comportando la cessazione della stessa, sia tale da pregiudicare in maniera apprezzabile il perseguimento degli obiettivi cui la stessa è finalizzata 3. In entrambi i commi, il bene giuridico tutelato è evidentemente il corretto svolgimento delle funzioni amministrative del Garante, il regolare ed ordinato andamento dell attività della pubblica amministrazione. 6. Art. 170. Inosservanza dei provvedimenti del Garante. 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento, dell'articolo 2 septies, comma 1, nonché i provvedimenti generali di cui all'articolo 21, comma 1, del decreto legislativo di attuazione dell'articolo 13 della legge 25 ottobre 2017, n. 163 è punito con la reclusione da tre mesi a due anni. L art. 170 è stato preceduto da ampie discussioni nella redazione del decreto volto ad armonizzare il previgente Codice della Privacy del 2003 con la nuova normativa comunitaria. Di fatti, anche nella seconda bozza di decreto, quella che, in seguito, solo con poche ulteriori modifiche è divenuto il Dlgs 101/2018, nel reintrodurre le fattispecie sanzionate penalmente, comunque non si riteneva meritevole di tutela penale l ipotesi di cui all art. 170. Soltanto con il successivo atto del Governo sottoposto a parere parlamentare (n 22) venne messa in discussione l irragionevolezza di una tale abrogazione, specialmente in considerazione dell aspro trattamento riservato a livello comunitario, dove, per l appunto, la 3 Si veda F. RESTA, Il Codice della Privacy, Commento al D.Lgs. 30 giugno 2003, n. 196 e al D.Lgs. 10 agosto 2018, n.101 alla luce del Regolamento (UE) 2016/679 (GDPR), a cura di Riccardo Sciaudone e Eleonora Caravà, in corso di pubblicazione, in art. 168, 2018. 6
violazione era punita severamente. Alla luce di tale ultimo ragionamento e, con un improvvisa virata, l art. 170 venne reintrodotto nell alveo penale. A differenza delle disposizioni precedenti che prevedono reati comuni, qui il chiunque è apparente, dal momento che potrà commettere la violazione soltanto il destinatario del provvedimento inosservato. La condotta tipica consiste, pertanto, nell inosservanza di più classi di provvedimenti 4 del Garante da parte del destinatario dell atto, obbligato a conformarvisi in virtù di espressa previsione. La condotta di inosservanza è ad ampio spettro: concerne, infatti, non soltanto la mera omissione, ma anche la trasgressione mediante modalità comportamentali attive 5. 7. Art. 171. Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori. La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all'articolo 38 della medesima legge. La condotta tipizzata all art. 171 individua le sanzioni da applicarsi nel caso in cui siano violate le disposizioni di cui agli artt. 4 e 8 dello Statuto dei Lavoratori, l. 300/1970. Le pene previste per tale trasgressione sono di tipo contravvenzionale: arresto e ammenda, secondo un singolare principio di progressività della pena, tale per cui alla maggior capacità economica del reo, il giudice ha la facoltà aumentare la sanzione oltre il massimo. Il D.lgs. 101/2018 ha modificato il testo della norma in commento, abbandonando il riferimento alla violazione degli artt. 113, co. 1, e 114 del Codice, per sostituirlo con un richiamo diretto alle norme sostanziali contenute dallo Statuto dei lavoratori 6. 4 Provvedimenti da osservare: - l art. 58 par. 2 lett. F) del Regolamento GDPR. Si tratta del potere correttivo in capo al Garante, e ad ogni altra Autorità riconosciuta, di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento; - l art. 170 del nuovo D.Lgs. 101/2018 è l art. 2 septies del medesimo decreto, provvedimenti con i quali l Autorità stabilisce le misure di garanzia funzionali ad autorizzare, ma in senso restrittivo, il delicato campo del trattamento dei dati genetici, biometrici e relativi alla salute; - l art. 21 del medesimo decreto legislativo, provvedimenti con cui il Garante individua le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento. 5 Si veda A.R. CASTALDO, Il Codice della Privacy, Commento al D.Lgs. 30 giugno 2003, n. 196 e al D.Lgs. 10 agosto 2018, n.101 alla luce del Regolamento (UE) 2016/679 (GDPR), a cura di Riccardo Sciaudone e Eleonora Caravà, in corso di pubblicazione, in art. 170, 2018. 6 Sul punto A. SITZIA, Il Codice della Privacy, Commento al D.Lgs. 30 giugno 2003, n. 196 e al D.Lgs. 10 agosto 2018, n.101 alla luce del Regolamento (UE) 2016/679 (GDPR), a cura di Riccardo Sciaudone e Eleonora Caravà, in corso di pubblicazione, in art. 171, 2018. 7